Controlado desde el
19/10/97 por NedStat
|
Ejecución local de archivos en Opera e IE con Flash
|
|
VSantivirus No. 1261 Año 8, sábado 20 de diciembre de 2003
Ejecución local de archivos en Opera e IE con Flash
http://www.vsantivirus.com/act-flash70190.htm
Por Angela Ruiz
angela@videosoft.net.uy
Macromedia ha realizado una actualización para su popular software Flash Player, que permite que los usuarios que naveguen por Internet, puedan contar con una mayor seguridad a la hora de visualizar contenido Flash.
Flash es una técnica creada por Macromedia, que permite dotar a los sitios Web, de una gran capacidad multimedia, en animaciones de muy poco peso, y por lo tanto de carga muy rápida.
Flash Player es un pequeño reproductor que se integra, una vez descargado, con el navegador que lo soporta, dándole la posibilidad de visualizar dichos contenidos.
Un reciente fallo de seguridad descubierto en el Internet Explorer y en el Opera, los dos conocidos navegadores de Internet, permiten el acceso remoto a ciertos archivos locales almacenados en las computadoras de los usuarios.
Un potencial exploit (código que se aprovecha de un fallo del software), puede crear una asociación con los archivos de datos de Flash, para permitir a un usuario malicioso acceder desde Internet, a la información almacenada en el disco duro de la computadora de la víctima.
La nueva versión del Flash Player, almacena los archivos de datos locales de tal manera que los mismos no pueden ser accedidos por aplicaciones maliciosas, sino solo por el propio reproductor. De este modo, las películas en Flash trabajarán correctamente con los datos almacenados en el sistema local, pero no así los programas externos, como los navegadores.
Es importante destacar que el fallo que se menciona, no existe en el reproductor en si mismo, sino que se trata de un modo de actuar con la restricción de las zonas de seguridad, tanto en el Internet Explorer como en el Opera, para acceder a archivos locales.
Un exploit publicado el 24 de octubre de 2003 como demostración del problema, utilizaba una película en Flash (.SWF) para crear un cookie y acceder luego al disco local. La actualización del Flash Player, impide que se pueda utilizar con éxito esta vulnerabilidad, pero correspondería a Microsoft y a Opera Software ASA solucionarlo en sus navegadores, cosa que aún no han hecho (diciembre de 2003).
La nueva versión del Flash Player (7.0.19.0), puede ser descargada de los siguientes enlaces:
Con identificación automática del navegador:
http://www.macromedia.com/go/getflashplayer_es
Descarga manual para Internet Explorer:
http://www.macromedia.com/shockwave/download/download.cgi?
P1_Prod_Version=ShockwaveFlash&P2_Platform=Win32&P3_Browser_Version=
MSIE&Lang=Spanish&P5_Language=Spanish
Descarga manual para Opera:
http://www.macromedia.com/shockwave/download/download.cgi?
P1_Prod_Version=ShockwaveFlash&P2_Platform=Win32&P3_Browser_Version=
Opera&P5_Language=Spanish&Lang=Spanish
Más información:
Internet Explorer and Opera local zone restriction bypass
http://www.securityfocus.com/archive/1/342317
Update to Flash Player Addressing Local Shared Object Security
http://www.macromedia.com/devnet/security/security_zone/mpsb03-08.html
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|